[mdk-re] cvs trouble

[mdk-re] cvs trouble

[Alexey Korotkov]

Возникла проблема с cvs.

Сделал так. 

В /etc/cvs/cvs.conf записано следующее:

CVS_REPOS="/home/ziga/work/mech/cvs"

Содержимое /etc/xinet.d/cvs:

# default: off
# description: CVS server.
service cvspserver
{
	disable		= no
	socket_type	= stream
	protocol	= tcp
	wait		= no  
	user		= ziga
	server		= /usr/sbin/cvspserver
}

Включил себя (ака ziga) в группу cvs.

В моём .bash_profile стоят строчки:

CVSROOT=:pserver:ziga@localhost:/home/ziga/work/mech/cvs
CVSEDITOR=mcedit
export CVSROOT CVSEDITOR

Дал команду:

$ cvs -d ~/work/mech/cvs init

В каталоге CVSROOT создал файл passwd, в котором написал:

ziga:<тут вставил пароль, взятый из /etc/shadow>:ziga

Пытаюсь залогиниться:

[ziga@localhost ziga]$ cvs -d :pserver:ziga@localhost:/home/ziga/work/mech/cvs login
(Logging in to ziga@localhost)
CVS password:<даю пассворд, вставленный из клипборда>
cvs login: authorization failed: server localhost rejected access to /home/ziga/work/mech/cvs for user ziga
[ziga@localhost ziga]$

В логах:

[root@localhost ziga]# grep cvs /var/log/messages
Dec 10 14:10:21 localhost xinetd[505]: id not unique: cvspserver [line=12]
Dec 10 14:28:31 localhost xinetd[504]: id not unique: cvspserver [line=12]
Dec 10 14:45:40 localhost xinetd[532]: id not unique: cvspserver [line=12]
Dec 10 22:10:23 localhost xinetd[505]: id not unique: cvspserver [line=12]
Dec 11 09:23:19 localhost xinetd[505]: id not unique: cvspserver [line=12]
Dec 11 09:58:55 localhost cvs_pserver[8164]: connection from 127.0.0.1:1027
Dec 11 09:58:55 localhost cvs_pserver[8164]: ziga@127.0.0.1:1027: incorrect password according to /home/ziga/work/mech/cvs/CVSROOT/passwd

Подскажите, пожалуйста, в чём может быть проблема.

Благодарю за помощь.

-- 
With best regards,
Alexey Korotkov

mailto:ziga@udm.ru

[mdk-re] Re: cvs trouble

[Mikhail Zabaluev]

Hello Alexey,

On Tue, Dec 11, 2001 at 10:13:16AM -0400, Alexey Korotkov wrote:
>
> Возникла проблема с cvs.
> 
> Сделал так. 
> 
> В /etc/cvs/cvs.conf записано следующее:
> 
> CVS_REPOS="/home/ziga/work/mech/cvs"
> 
> Содержимое /etc/xinet.d/cvs:
> 
> # default: off
> # description: CVS server.
> service cvspserver
> {
> 	disable		= no
> 	socket_type	= stream
> 	protocol	= tcp
> 	wait		= no  
> 	user		= ziga
> 	server		= /usr/sbin/cvspserver
> }
> 
> Включил себя (ака ziga) в группу cvs.
> 
> В моём .bash_profile стоят строчки:
> 
> CVSROOT=:pserver:ziga@localhost:/home/ziga/work/mech/cvs
> CVSEDITOR=mcedit
> export CVSROOT CVSEDITOR
> 
> Дал команду:
> 
> $ cvs -d ~/work/mech/cvs init
> 
> В каталоге CVSROOT создал файл passwd, в котором написал:
> 
> ziga:<тут вставил пароль, взятый из /etc/shadow>:ziga
> 
> Пытаюсь залогиниться:
> 
> [ziga@localhost ziga]$ cvs -d :pserver:ziga@localhost:/home/ziga/work/mech/cvs login
> (Logging in to ziga@localhost)
> CVS password:<даю пассворд, вставленный из клипборда>
> cvs login: authorization failed: server localhost rejected access to /home/ziga/work/mech/cvs for user ziga
> [ziga@localhost ziga]$
> 
> В логах:
> 
> [root@localhost ziga]# grep cvs /var/log/messages
> Dec 10 14:10:21 localhost xinetd[505]: id not unique: cvspserver [line=12]
> Dec 10 14:28:31 localhost xinetd[504]: id not unique: cvspserver [line=12]
> Dec 10 14:45:40 localhost xinetd[532]: id not unique: cvspserver [line=12]
> Dec 10 22:10:23 localhost xinetd[505]: id not unique: cvspserver [line=12]
> Dec 11 09:23:19 localhost xinetd[505]: id not unique: cvspserver [line=12]
> Dec 11 09:58:55 localhost cvs_pserver[8164]: connection from 127.0.0.1:1027
> Dec 11 09:58:55 localhost cvs_pserver[8164]: ziga@127.0.0.1:1027: incorrect password according to /home/ziga/work/mech/cvs/CVSROOT/passwd
> 
> Подскажите, пожалуйста, в чём может быть проблема.

Метод хэширования паролей в shadow отличается от метода, используемого
CVS. Как проверено мной и другими, для генерации файла паролей CVS
подходит утилита htpasswd из пакета apache.

2Team: может, вынести утилиту эту в отдельный пакетик?

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
Flattery will get you everywhere.

Re: [mdk-re] Re: cvs trouble

[cornet]

Mikhail Zabaluev wrote:
> 
> Hello Alexey,
> 
> On Tue, Dec 11, 2001 at 10:13:16AM -0400, Alexey Korotkov wrote:
> >
> > Возникла проблема с cvs.
> >
> > Сделал так.
> >
> > В /etc/cvs/cvs.conf записано следующее:
> >
> > CVS_REPOS="/home/ziga/work/mech/cvs"

skip.

> > [ziga@localhost ziga]$ cvs -d :pserver:ziga@localhost:/home/ziga/work/mech/cvs login
> > (Logging in to ziga@localhost)
> > CVS password:<даю пассворд, вставленный из клипборда>
> > cvs login: authorization failed: server localhost rejected access to /home/ziga/work/mech/cvs for user ziga
> > [ziga@localhost ziga]$
> >
> > В логах:
> >
> > [root@localhost ziga]# grep cvs /var/log/messages
> > Dec 10 14:10:21 localhost xinetd[505]: id not unique: cvspserver [line=12]
> > Dec 10 14:28:31 localhost xinetd[504]: id not unique: cvspserver [line=12]
> > Dec 10 14:45:40 localhost xinetd[532]: id not unique: cvspserver [line=12]
> > Dec 10 22:10:23 localhost xinetd[505]: id not unique: cvspserver [line=12]
> > Dec 11 09:23:19 localhost xinetd[505]: id not unique: cvspserver [line=12]
> > Dec 11 09:58:55 localhost cvs_pserver[8164]: connection from 127.0.0.1:1027
> > Dec 11 09:58:55 localhost cvs_pserver[8164]: ziga@127.0.0.1:1027: incorrect password according to /home/ziga/work/mech/cvs/CVSROOT/passwd
> >
> > Подскажите, пожалуйста, в чём может быть проблема.
> 
> Метод хэширования паролей в shadow отличается от метода, используемого
> CVS. Как проверено мной и другими, для генерации файла паролей CVS
> подходит утилита htpasswd из пакета apache.

Тогда, плиз, обьясните мне, почему у меня да же на чистом Spring
пасворды через shadow отлично проваривались и никаких траблов не было.
Причем траблов нет и при виндовых клиентах и при клиенте cvs из поставки
ASP Linux??

У Алексея очень странный случай и я просто не понимаю почему при
одинаковых дистрибутивах одно и то же действие приводит к разным
результатам :-/

Причем, да же когда на выделенном сервере делаю Алексею акаунт в cvs
протягивая пасворд через свой домашний shadow. Я зайти под этим акаунтом
могу, а Алексей - нет. В то время как у всех, кто ходит в тот cvs по
pserver таких траблов нет. Неверная передача пасворда между нами
исключена - пробовали несколько раз.

Ниччо не понимаю :-/


-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re: [mdk-re] Re: cvs trouble

[AVL]

On Tue, 11 Dec 2001 13:19:41 +0300
cornet <cornet@altlinux.ru> wrote:


> У Алексея очень странный случай и я просто не понимаю почему при
> одинаковых дистрибутивах одно и то же действие приводит к разным
> результатам :-/

 может быть, разные хеши стоят.
один и тот же пароль и там и там в одну и туже строку преобразуется?

Re: [mdk-re] Re: cvs trouble

[cornet]

AVL wrote:
> 
> On Tue, 11 Dec 2001 13:19:41 +0300
> cornet <cornet@altlinux.ru> wrote:
> 
> > У Алексея очень странный случай и я просто не понимаю почему при
> > одинаковых дистрибутивах одно и то же действие приводит к разным
> > результатам :-/
> 
>  может быть, разные хеши стоят.
> один и тот же пароль и там и там в одну и туже строку преобразуется?

Ммм... возможно, а что это за хеши в cvs?
Просто я убежден, что дело не в содержимом CVSROOT/passwd, а в моменте
передачи пасворда от клиента к серверу. Поскольку при заходе по тому же
логину с другой машины (с моей) авторизация проходит, а при заходе от
Алексея - нет. Это значит сам cvs сервер пасворд из passwd выгребает
правильно, а вот то, что он получил для сравнения от клиента - вызывает
сомнения.

Так что у Алексея проблема с заходом не только на его домашний cvs, но и
на другие заведомо рабочие хосты.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re: [mdk-re] Re: cvs trouble

[AVL]

On Tue, 11 Dec 2001 13:43:06 +0300
cornet <cornet@altlinux.ru> wrote:

> AVL wrote:
> > 
> > On Tue, 11 Dec 2001 13:19:41 +0300
> > cornet <cornet@altlinux.ru> wrote:
> > 
> > > У Алексея очень странный случай и я просто не понимаю почему при
> > > одинаковых дистрибутивах одно и то же действие приводит к разным
> > > результатам :-/
> > 
> >  может быть, разные хеши стоят.
> > один и тот же пароль и там и там в одну и туже строку преобразуется?
> 
> Ммм... возможно, а что это за хеши в cvs?
да нет. если пользователю дать пароль через passwd и потом заглянуть в shadow - там одно и тоже будет у вас и у него?
просто у него может быть md5 а у вас blowfish.
чем менялись то?
htpasswd - это одно а есть еще куча хеш-функций.

> Просто я убежден, что дело не в содержимом CVSROOT/passwd, а в моменте
> передачи пасворда от клиента к серверу. Поскольку при заходе по тому же
> логину с другой машины (с моей) авторизация проходит, а при заходе от
> Алексея - нет. Это значит сам cvs сервер пасворд из passwd выгребает
> правильно, а вот то, что он получил для сравнения от клиента - вызывает
> сомнения.

так а что он получает от клиента. я так понимаю хеш пароля он получает. так что если не совпадает хеш-функция на сервере и клиенте то гарантированно пароль не пройдет.
это можно проверить через tcpdump, как последний довод короля. ;)


> 
> Так что у Алексея проблема с заходом не только на его домашний cvs, но и
> на другие заведомо рабочие хосты.
> 
> -- 
> Власенко Олег.
> Отдел технической поддержки ALT Linux Team.
> mailto:cornet@altlinux.ru
> 
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian@altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian
> 

Re: [mdk-re] Re: cvs trouble

[cornet]

AVL wrote:
> 
> On Tue, 11 Dec 2001 13:43:06 +0300
> cornet <cornet@altlinux.ru> wrote:
> 
> > AVL wrote:
> > >
> > > On Tue, 11 Dec 2001 13:19:41 +0300
> > > cornet <cornet@altlinux.ru> wrote:
> > >
> > > > У Алексея очень странный случай и я просто не понимаю почему при
> > > > одинаковых дистрибутивах одно и то же действие приводит к разным
> > > > результатам :-/
> > >
> > >  может быть, разные хеши стоят.
> > > один и тот же пароль и там и там в одну и туже строку преобразуется?
> >
> > Ммм... возможно, а что это за хеши в cvs?
> да нет. если пользователю дать пароль через passwd и потом заглянуть в shadow - там одно и тоже будет у вас и у него?
> просто у него может быть md5 а у вас blowfish.
> чем менялись то?
> htpasswd - это одно а есть еще куча хеш-функций.

Для чистоты эксперимента менялись пасвордом открытым текстом.
Я придумал пасворд, провернул его через свой shadow, положил на сервер,
Алексею выслал исходный пароль открытым текстом, который он ручками на
запрос от cvs login и вбил. Его под этим акаунтом посылают, меня -
пущают. Бред. То есть на уровне сервера пасворд воспринимается, а вот
передается ему видимо иногда неправильно.

> > Просто я убежден, что дело не в содержимом CVSROOT/passwd, а в моменте
> > передачи пасворда от клиента к серверу. Поскольку при заходе по тому же
> > логину с другой машины (с моей) авторизация проходит, а при заходе от
> > Алексея - нет. Это значит сам cvs сервер пасворд из passwd выгребает
> > правильно, а вот то, что он получил для сравнения от клиента - вызывает
> > сомнения.
> 
> так а что он получает от клиента. я так понимаю хеш пароля он получает. так что если не совпадает хеш-функция на сервере и клиенте то гарантированно пароль не пройдет.
> это можно проверить через tcpdump, как последний довод короля. ;)

Хммм... хорошая мысль - попробую.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re: [mdk-re] Re: cvs trouble

[cornet]

AVL wrote:
> 
skip.
> это можно проверить через tcpdump, как последний довод короля. ;)

Итак. Проверил.
От клиента cvs пароль передается на сервер в _скремблированном_ виде. В
том самом виде, буковка в буковку, в котором он после удачной
авторизации попадает в ~/.cvspass
Причем известно, что пасворды скремблируются одинаково всегда, по
крайней мере я совершенно свободно носил свой ~/.cvspass между машинами
от Spring на Junior и Sisyphus и никаких траблов не наблюдал,
авторизация всегда проходит без необходимости говорить cvs login на
новой машине. Просто принес ~./cvspass и сразу можно говорить cvs update
и прочее.

Таким образом получаем, что если вдруг cvs клиент начинает
скремблировать введенный с клавы пасворд как то по другому, то сервак
его отшивает.
Страно другое, этого НЕ должно происходить в рамках одной системы, когда
и клиент и сервер из одного rpm и выполняются на одном хосте. Вот этого
я не понимаю.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re: [mdk-re] Re: cvs trouble

[AVL]

On Tue, 11 Dec 2001 15:35:26 +0300
cornet <cornet@altlinux.ru> wrote:

> AVL wrote:
> > 
> skip.
> > это можно проверить через tcpdump, как последний довод короля. ;)
> 
> Итак. Проверил.

я вообще то имел в виду того клиента, которого отшивают.
у него то tcpdump показывает ту же строчку, что и у тебя? байт в байт?

> Причем известно, что пасворды скремблируются одинаково всегда, по
> крайней мере я совершенно свободно носил свой ~/.cvspass между машинами
> от Spring на Junior и Sisyphus и никаких траблов не наблюдал,

потому что ставились они одинаково. но не обязаны.

> Страно другое, этого НЕ должно происходить в рамках одной системы, когда
> и клиент и сервер из одного rpm и выполняются на одном хосте. Вот этого
> я не понимаю.
я так понимаю, что cvs хеширует пароль тем протоколом, которым шифруются пароли в этой системе.
у всех это blowfish а может быть md5 etc 
так что траблы стоит искать не в cvs а в районе pam (если все таки строки с шифрованным паролем на cvs идут у вас  разные).

Re: [mdk-re] Re: cvs trouble

[cornet]

AVL wrote:
> 
> On Tue, 11 Dec 2001 15:35:26 +0300
> cornet <cornet@altlinux.ru> wrote:
> 
> > AVL wrote:
> > >
> > skip.
> > > это можно проверить через tcpdump, как последний довод короля. ;)
> >
> > Итак. Проверил.
> 
> я вообще то имел в виду того клиента, которого отшивают.
> у него то tcpdump показывает ту же строчку, что и у тебя? байт в байт?

А вот это скоро выяснится, как только Алексей врубит свой момед и прочтет все то, что мы тут написали плюс мои приватные инструкции что и куда :-)

skip.
> > Страно другое, этого НЕ должно происходить в рамках одной системы, когда
> > и клиент и сервер из одного rpm и выполняются на одном хосте. Вот этого
> > я не понимаю.
> я так понимаю, что cvs хеширует пароль тем протоколом, которым шифруются пароли в этой системе.
> у всех это blowfish а может быть md5 etc
> так что траблы стоит искать не в cvs а в районе pam (если все таки строки с шифрованным паролем на cvs идут у вас  разные).

Гм, но при одинаковых дистрах эти протоколы должны быть одинаковы, ИМХО.

Ну подождем не много. Если клиент Алексея посылает скремблированый пароль точно в таком же виде, как и мой клиент (байт в байт) то я просто ничего не понимаю.
А если тот же палось им скремблируется в другую последовательность символов - точно надо копать и pam и прочие клиентские моменты.

Подождем результатов от Алексея Короткова.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

Re: [mdk-re] Re: cvs trouble

[Alexey Korotkov]

On Tue, 11 Dec 2001 12:02:10 +0300
Mikhail Zabaluev <mhz@alt-linux.org> wrote:

[...]
MZ> Метод хэширования паролей в shadow отличается от метода, используемого
MZ> CVS. Как проверено мной и другими, для генерации файла паролей CVS
MZ> подходит утилита htpasswd из пакета apache.

Пробовал, грабли те же. Пробовал с разными опциями: -m, -d, -s.
Ни с одной не работает.

-- 
With best regards,
Alexey Korotkov

mailto:ziga@udm.ru